プライバシーマーク認定規格改定への対応 ／ 中村 久吉

　昨年の5月末から改正個人情報保護法が全面的に施行されています。これを受けて、2017年12月にプライバシーマーク認定規格が改定され、JIS Q 15001:2017年版が発行されました。

　今回は改定されたJIS規格の特徴やプライバシーマーク認定審査における変更点等を解説します。

 

　先ず今回の規格改定の特徴を一言でいうと、改定個人情報保護法との整合性を取った内容である点が一番のポイントになっています。

　記憶のある人も多いかと思いますが、J社が交通系ICカードデータを販売しようとして多方面からの批判を浴びて中止した事案やその後のB社による大量の個人情報漏えい事件等に対する反省から、匿名加工情報が明確にされ、個人情報の提供時の措置が提供する側と受ける側共に強化されました。また、再委託先の監督の強化が図られました。その一方で、個人情報の有用性への配慮から提供時の制限等が事実上で緩和されたと云えます。

　他にも、保護法とJIS規格で多少異なっていた個人情報の定義が調整されたとか、特定の機微な情報が要配慮個人情報に差し替えられたとか、外国にある第3者への個人情報の提供の制限とかがあります。

 

具体的なJIS Q 15001:2017の構成は次のとおりで、従来からの外見はガラッと変わってISOマネジメントシステム規格と同様の構成になりました。

 

0.1 概要 

0.2 他のマネジメントシステム規格との近接性

1 適用範囲 

2 引用規格

3 用語及び定義

4 組織の状況

　4.1 組織及びその状況の理解

　4.2 利害関係者のニーズ及び期待の理解

　4.3 個人情報保護マネジメントシステムの適用範囲の決定

　4.4 個人情報保護マネジメントシステム

5 リーダーシップ

　5.1 リーダーシップ及びコミットメント

　5.2 方針

　5.3 組織の役割，責任及び権限

6 計画 

　6.1 リスク及び機会に対処する活動

　6.2 個人情報保護目的及びそれを達成するための計画策定

7 支援

　7.1 資源

　7.2 力量

　7.3 認識

　7.4 コミュニケーション

　7.5 文書化した情報

8 運用

　8.1 運用の計画及び管理

　8.2 個人情報保護リスクアセスメント

　8.3 個人情報保護リスク対応

9 パフォーマンス評価

　9.1 監視，測定，分析及び評価

　9.2 内部監査

　9.3 マネジメントレビュー

10 改善

　10.1 不適合及び是正処置

　10.2 継続的改善 

附属書A（規定）管理目的及び管理策

附属書B（参考）管理策に関する補足

附属書C（参考）安全管理措置に関する管理目的及び管理策

附属書D（参考）新旧対応表 

参考文献

解 説

 

　さて、プライバシーマーク認定審査を受ける場合の変更点は、如何なるものでしょうか。現在は、未だ2006年版JIS規格による審査が殆どを占めていますが、ボチボチと2017年版JISによる審査の申請が入ってきています。

　プライバシーマーク認定審査は、文書審査と現地審査が実施されています。云うまでもなく、文書審査はPMS文書（内部規程）がJIS規格要求に合致した内容になっているのかをチェックされます。一方、現地審査はJIS規格要求に適合した内部規程があることを前提に業務現場が自社の内部規定どおりの運用を行っているかをチェックします。

　で、現在の2006年版JIS規格による文書審査は、非常に厳しい審査をしており個々の措置や手順が組織的に承認されることを確認しています。しかし、2017年版JIS規格による文書審査は相当に緩やかな判断をされます。言い換えると、文書審査の対象が絞り込まれて審査項目が減り、現行の5W1Hの手順が事細かに規定されていなくとも、運用面でキチンとしたルールの下に実施されているのなら適合状態と判断します。つまり、一律なチェックではなく、各組織の処理ルールに則って実施されている場合は何ら問題ないと云うことです。

　文書審査が緩やかに判断されるようになりますから、反面で現地審査でのチェックが大きな比重を占めるようになります。既に認定資格を取得していて、現行の2006年版JISに対応したPMS文書を持ち、その結果上位規定の他に下位規定(細則や手順集)を運用している場合は、もちろん問題はないと云うことになります。新規にPMS文書を構築する場合は、組織の状況によって規定の策定が簡単になるケースが出てきます。

 

　受審組織にとっては、内部規程の細かさが追及されなくなる点で楽になると云えますが、現地審査での追及が従来以上になる可能性があります。この点で、マネジメントシステムとしての本来の運用が定着している必要があります。

つまり、PDCAサイクルが毎年1回廻っていること、及び規定に従った運用が業務現場に定着していることを要求されます。しかし、これって、ISO認証も含めてマネジメントシステムとして当然の状態を要求されていると云うことなのです。

　開き直れば、認定審査で不適合を指摘されても、それを是正すれば認定されるのですから、何も恐れることはありません。むしろ、審査を何度か経ることによって理解が深まるのですから、継続的改善も実現しやすくなるのです。　

 

　なお、9月14日に「JIS Q15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」(日本規格協会)が発行されました。これが、現在では最良の教材になりますので、ご関心の方は手に取られると良いでしょう。

 

------------------------------------------------------------------------

■執筆者プロフィール

 

中村久吉（なかむらひさよし）

プライバシーマーク主任審査員、ITコーディネータ、中小企業診断士

e-mail： ohnakamura@gmail.com